Monthly Archive October 31, 2020

Amankan Mikrotik Dari Serangan Bruteforce FTP dan SSH

Menjaga kemanan Mikrotik adalah salah satu kewajiban yang harus dilakukan oleh admin jaringan. Router Mikrotik bisa kita ibaratkan seperti sebuah rumah, Router adalah area privasi yang tidak bisa di akses oleh sembarang orang.

Sebelum melakukan konfigurasi Router ke Internet, sebaiknya memberi keamanan terlebih dahulu kepada Router. Kali ini kami akan memberikan sedikit trik untuk mencegah Brute Force Login pada Mikrotik. Brute Force Login adalah metode penyerangan terhadap sebuah sistem dengan mencoba semua kemungkinan Password.

Dari sisi user tentunya log informasi tersebut akan sangat mengganggu karena log akan mencatat semua aktifitas yang terjadi pada router, termasuk client yang mencoba login ke Router. Kemudian dari sisi Router tentunya juga akan membebani resource dari Router ketika terdapat banyak client yang hendak mengakses Router (Bruteforce).

Langkah yang bisa kita lakukan untuk mengamankan Router dari serangan Bruteforce adalah menutup service yang tidak terpakai atau bisa juga menandai alamat IP penyerang kemudian di drop. Untuk menandai alamat IP penyerang kemudian di drop, maka kita bisa memanfaatkan fitur firewall pada Router.

Mengamankan FTP dari serangan Bruteforce
Kasus pertama, kita akan mencoba mengamankan Router dari serangan Bruteforce FTP. Anda dapat ikuti langkah dibawah ini:

/ip firewall filter
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment=”Drop FTP Brute Forcers”
add chain=output action=accept protocol=tcp content=”530 Login incorrect” dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp content=”530 Login incorrect” address-list=ftp_blacklist address-list-timeout=3h

Dengan konfigurasi diatas, maka ketika ada user yang mencoba login FTP ke router lebih dari 10 kali gagal, maka IP Address dari user tersebut akan di drop selama 3 jam. Konfigurasi dapat Anda sesuikan sesuai dengan kebutuhan.

SSH Konfigurasi
Kasus kedua, kita akan mencoba mengamankan Router dari serangan Bruteforce SSH. Anda dapat ikuti langkah di bawah ini:

/ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment=”Drop SSH Brute Forcers” disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=”” disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=”” disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=”” disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment=”” disabled=no

Dengan konfigurasi diatas, maka ketika ada client yang mencoba meremote Router melalui SSH dan mengalami gagal login selama lebih dari 3 kali, maka alamat IP penyerang akan di drop selama 10 Hari. Konfigurasi dapat Anda sesuaikan sesuai dengan kebutuhan.

Monitoring Perangkat menggunakan Telegram dan Netwatch

Netwatch merupakah salah satu dari sekian banyak tool yang sudah disediakan oleh Router Mikrotik. Tool Netwatch ini berfungsi untuk melakukan monitoring terhadap suatu host di jaringan, sehingga dengan tool Netwatch ini kita bisa melakukan pemantauan yang lebih baik lagi terhadap perangkat-perangkat yang terdapat di jaringan kita.

Tool Netwatch bekerja dengan cara mengirimkan pesan ICMP ke perangkat setiap 1 menit sekali (defaultnya), kemudian jika perangkat tidak merespon dalam jangka waktu 1000ms maka akan dianggap down. Pada tool Netwatch terdapat dua tab yaitu tab UP dan tab Down. Kedua tab ini yang bisa digunakan untuk menentukan action apa yang akan digunakan. Untuk action yang akan digunakan pun akan sangat fleksibel sekali, karena action yang akan digunakan nanti berupa script.

Kami sudah pernah melakukan konfigurasi Netwatch dengan beberapa contoh kasus, yaitu mengirimkan pesan di LOG Router hingga mengirimkan notifikasi perangkat via E-mail. Pada artikel kali ini kami mencoba membahas mengenai [Netwatch] monitoring Host dengan Telegram.

Untuk mendapatkan informasi perubahan kondisi link pada sebuah host, maka kita perlu menyiapkan bot telegram terlebih dahulu yang nantinya akan digunakan untuk mengirimkan pesan notifikasi ke dalam group telegram.

Konfigurasi:

1. Pembuatan bot pada telegram dapat kita lakukan dengan menggunakan @BotFather. Klik start button atau kirimkan perintah /start ke @BotFather sehingga akan muncul daftar perintah yang dapat kita gunakan dengan bot tersebut.

2. Selanjutnya kirim perintah /newbot, akan muncul reply atau respon sebagai berikut dari @BotFather.

3. Setelah muncul respon seperti diatas kirimkan nama bot yang akan kita gunakan, sebagai contoh disini kita akan menggunakan nama : Cweb_Monitoring_bot. Jika pembuatan bot sudah berhasil akan muncul balasan yang mengirimkan token untuk mengakses API bot yang sebelumnya kita buat.

4. Undang bot yang telah dibuat ke sebuah group untuk memonitoring notifikasi dari netwatch,

5. Selanjutnya untuk dapat mengirim notifikasi kita perlu mencari tahu chat-id bot kita, caranya dengan mengakses API Bot kita di browser dengan format link sebagai berikut : https://api.telegram.org/bot(TOKEN_BOT)/getUpdates

6. Kemudian remote router kita dan buat sebuah rule Netwatch di menu Tools->Netwatch->Add. Pada tab host terdapat beberapa parameter yang dapat kita tentukan sebagai berikut :

Host : Informasi IP address device yang akan dimonitoring.
Interval : Netwatch berkerja dengan mengirimkan ping. Pada parameter interval, kita bisa setting jangka waktu router untuk mengirimkan ping untuk mengecek kondisi host.
Time Out : Jangka waktu berapa lama host akan dianggap down jika ping yang dikirim dari router tidak mendapat respon (unreachable).

Dari contoh gambar diatas rule netwatch akan memonitoring host dengan IP 192.168.77.206. Status host saat ini dalam kondisi “Down”, jika pada interval yang ditentukan nantinya router berhasil melakukan ping ke host tersebut maka status akan berubah menjadi “UP”.

Agar Netwatch dapat mengirimkan notifikasi ketika terjadi perubahan kondisi host kita perlu menambahkan script pada tab UP dan tab Down. Script pada tab UP akan dijalankan saat host berubah dari kondisi down ke kondisi UP, sebaliknya ketika kondisi host berubah dari UP ke Down maka yang akan dijalankan adalah script pada tab Down.

Contoh script untuk mengirimkan notifikasi ketika host berubah menjadi UP sebagai berikut :

/tool fetch url=”https://api.telegram.org/bot(TOKEN_BOT)/sendMessage?chat_id=(CHATID_BOT)&text=(PESAN KETIKA HOST UP)” keep-result=no
Sedangkan script notifikasi ketika host down sebagai berikut :
/tool fetch url=”https://api.telegram.org/bot(TOKEN_BOT)/sendMessage?chat_id=(CHATID_BOT)&text=(PESAN KETIKA HOST DOWN)” keep-result=no